ZRP
Tuca Zbarcea & Asociatii

Top 5 greșeli comune făcute înainte sau în timpul unui incident informatic

02 Iunie 2020   |   Cristian Zaharia, Manager, Forensic, EY România

Factorii de decizie care își desfășoară chiar și o mică parte din activitatea lor prin utilizarea unor servicii și tehnologii informatice trebuie să-și adapteze strategia de securitate în funcție de specificul și natura activității întreprinse, iar apelarea la servicii profesioniste în domeniu ar putea ca pe termen lung să facă diferența între existența și prosperitatea pe piață sau disoluție.

 
 
Dinamica societății și tehnologizarea tot mai evidentă a tuturor ramurilor de care omul modern se lovește zi de zi a creat cadrul favorabil apariției și dezvoltării unui fenomen care nu mai este deloc nou în România: criminalitatea informatică. Fie că își are originea în țara noastră, fie că o “importăm”, din ce în ce mai multe persoane fizice sau juridice cad victimă și, nu de puține ori, pierderile sunt greu de recuperat.

1.     „Mie nu mi se poate întâmpla”
Este poate cea mai mare eroare pe care atât persoanele fizice, dar mai ales factorii de decizie ai unor societăți comerciale o pot face. Plecând de la premisa enunțată, acțiunile lor sunt în această direcție. Astfel, lipsa alocării unui buget în vederea protejării împotriva atacurilor informatice sau o instruire deficitară a personalului în acest sens sunt doar câteva dintre „strategiile” care transformă companiile într-o victimă sigură.

 
Concepția des întâlnită precum că, atâta timp cât nu ai nimic de ascuns și de interes pentru atacatori, ești în siguranță, este greșită. Cele mai multe dintre atacurile informatice au drept scop obținerea unor foloase materiale și, în egală măsură, a unor resurse informatice care să fie folosite ulterior în generarea altor atacuri. Practica judiciară în domeniu este bogată în cazuri în care infrastructura unor terțe societăți comerciale a fost folosită în săvârșirea unor infracțiuni informatice.

2.    Protejarea împotriva atacurilor informatice nu este o activitate care se face o dată și bine
Achiziția și configurarea inițială a unor soluții hardware și/sau software care să ajute la stoparea sau reducerea unor astfel de atacuri este o primă acțiune pe calea protejării datelor și activelor companiei. Nu este însă suficientă.

Nu de puține ori s-au întâlnit situații când licențele de antivirus erau expirate și semnăturile nu erau la zi sau regulile din firewall nu mai erau de actualitate. O practică trecută des cu vederea este acumularea de privilegii în rândul angajaților care sunt de o perioadă mai mare de timp în companie. Pe măsură ce ocupă mai multe roluri cu sarcini diferite, ei ajung într-un final să aibă mult mai multe drepturi de acces în sistemele informatice decât au nevoie. Astfel, managementul „user-ilor” este deficitar, putând facilita fie o eventuală fraudă din partea acelui angajat, fie mărirea suprafeței de atac împotriva companiei, în cazul în care contul este compromis de terțe persoane.

Poate cel mai răsunător caz generat de această greșeală este „Wannacry”, iar principala cauză care a generat acest atac a fost tocmai lipsa instalării unor update-uri de securitate menite să remedieze anumite vulnerabilități cunoscute deja de către profesioniștii în domeniu ca fiind ușor exploatabile. Rezultatul a fost un atac informatic de tip ransomware de proporții, fiind criptate peste 230.000 de calculatoare de pe întreg mapamondul, cu pierderi totale de peste 1 miliard de dolari.

3.    „Încerc să fac totul de unul singur”
Nevoia de a ține costurile sub control împinge multe companii să încredințeze management-ul soluțiilor de securitate unei persoane interne al cărei rol de zi cu zi este cu totul altul. Cel mai des întâlnit caz este acela de a apela la persoana responsabilă cu gestionarea echipamentelor de IT, care, pe parcurs, instalează și configurează și echipamentele de rețea (router/switch), firewall, soluțiile software de pe stații, cloud, etc.

Fiecare dintre tehnologiile anterior enumerate are caracteristici diferite, iar gestionarea acestora și configurarea de către o persoană care nu are pregătirea necesară reprezintă încă un risc pentru compania respectivă. De foarte multe ori, percepția că ești protejat, când în realitate ai o mare vulnerabilitate, este mai periculoasă, întrucât compania va desfășura activități și va expune în mediul online date informatice care, în alte condiții, ar fi mult mai bine protejate.

4.    Folosirea inadecvată a parolelor de acces și a altor metode de autentificare
Managementul parolelor de acces nu este un lucru ușor, mai ales când sistemele în care user-ul se va autentifica sunt multiple, politicile de complexitate și de expirare a acestora sunt diferite de la un serviciu la altul, iar persoana care le folosește nu are o pregătire minimă în legătură cu modul de păstrare al acestora.

Un exemplu des întâlnit este cel al sticky-note-urilor lipite de monitor sau agende uitate printr-o sală de conferință, conținând parolele de acces într-un anumit sistem informatic. Aceste incidente au generat adoptarea clară a unei politici de „clean desk”, care ar putea crea cadrul favorabil prin care angajații să fie instruiți pentru a nu expune parolele de acces.

5.    Lipsa unor procese clare în cazul unui incident informatic sau aplicarea lor haotică
Companiile care sunt conștiente de aceste riscuri au investit, în mod constant, în remedierea problemelor mai sus amintite. Cu toate acestea, oricât de puțin s-ar reduce suprafața de atac, oricâte tehnologii de prevenție, detecție și stopare s-ar implementa, nu toată lumea joacă după aceleași reguli. Un atac informatic se va întâmpla oricând, e doar o chestiune de timp.

Mai mult, prin Legea 362/2018 care transpune directiva europeană 1148/2016 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, toate companiile care furnizează servicii esențiale către populație trebuie să minimizeze riscurile și să ia măsuri interne manageriale și de natură tehnică, astfel încât să diminueze riscul cibernetic. Ceea ce înseamnă că vor fi obligate să bugeteze și să realizeze investiții în această direcție, având în vedere că, de multe ori, acest aspect nu a fost unul de o importanță majoră pentru managementul unui operator de servicii esențiale.

Art. 42 al acestei legi intrată în vigoare în ianuarie 2019 indică faptul că entitățile care acționează în sectoarele vizate au un termen de 2 ani în care să depună documentația de autoevaluare a îndeplinirii cerințelor minime de securitate și notificare. Sunt prevăzute și o serie de contravenții substanțiale în cazul în care, după producerea unui incident informatic grav, se constată că acea companie nu a întreprins măsurile necesare pentru a-l împiedica sau pentru a-i diminua efectele.

Producerea unui incident informatic, de orice natură ar fi el (phishing, malware infection, DDOS attack, website defacement etc.), obligă la acționarea imediată a unui plan de răspuns care să ducă la înlăturarea efectelor negative sau măcar la diminuarea lor pe cât posibil.  Nu întâmplător, la nivel internațional, au fost create mai multe cadre de reglementare a acestor situații în care sunt descrise activitățile care trebuie întreprinse.

Cele mai populare două astfel de cadre de lucru sunt cele elaborate de cǎtre NIST (National Institute of Standards and Technology) și SANS (SysAdmin, Audit, Network, and Security). Acestea nu sunt substanțial diferite, oricare dintre cele două metodologii ajută la formularea unui răspuns mai bun în cazul unui atac informatic, bazat pe un set de pași pe care oricine din organizație ar trebui să îi aplice, atunci când își propune să investească în această zonă. Sigur că aceștia trebuie adaptați specificului organizației și implementați, de preferat, înaintea producerii unui atac informatic.

Conștientizăm greșelile: care este următorul pas?

Unele dintre aspectele menționate mai sus sunt ușor de remediat, necesitând doar o conștientizare mai mare din partea factorilor de decizie dintr-o companie a pericolelor la care o expun atunci când aplică ceea ce mulți specialiști consideră a fi o strategie cunoscuta drept „security through obscurity”.

În baza acesteia, mecanismele de securitate sunt cunoscute doar de către membrii care o aplică și o folosesc, iar un eventual atac informatic ar putea reuși doar dacă acestea sunt cunoscute, lucru considerat puțin probabil. Practica a dovedit că această strategie este drumul sigur către o țintă ușoară a hackerilor.

Dinamica atacurilor informatice și versatilitatea lor fac imposibilă aplicarea unei rețete universale care să funcționeze ca un „panaceu”. Factorii de decizie care își desfășoară chiar și o mică parte din activitatea lor prin utilizarea unor servicii și tehnologii informatice trebuie să-și adapteze strategia de securitate în funcție de specificul și natura activității întreprinse, iar apelarea la servicii profesioniste în domeniu ar putea ca pe termen lung să facă diferența între existența și prosperitatea pe piață sau disoluție.

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 7855 / 8583
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
De vorbă cu Anne Marie Mateeas, Country Legal Head Novartis, profesionistul pentru care integritatea reprezintă valoarea fundamentală, despre profesia juridică, experiențele acumulate și provocările abordate | “În sfera carierei mele, dezvoltarea unor valori precum respectul profund pentru lege, promovarea transparenței și adoptarea unei abordări centrate pe identificarea și implementarea de soluții eficiente sunt aspecte esențiale care îmi ghidează fiecare decizie și acțiune. Chiar și momentele dificile sau deciziile care s-au dovedit a fi mai puțin potrivite au avut un impact valoros, învățându-mă lecții esențiale”
NNDKP obține poziții de top în clasamentele The Legal 500 EMEA 2024
CMS asistă PPC în achiziția unui parc eolian operațional de 84 MW în România. Mircea Moraru (Corporate M&A) a coordonat echipa, cu sprijinul lui Horea Popescu (Corporate M&A)
Vlad Peligrad s-a desprins din asocierea cu KPMG Legal, unde era partener și lansează o firmă proiectată să asigure întreg spectrul de servicii juridice | Vlad Peligrad, Managing Partner & Founder PeligradLaw: ”Suntem la început, în procesul de formare a echipei. Până la sfârșitul anului firma va avea 8-10 avocați”
LegiTeam: Experienced Lawyer Employment | Reff & Associates
Noi Avocați Colaboratori Seniori în cadrul PNSA. Andra Vieriu și Maria Dima fac un pas înainte în carieră
Stratulat Albulescu obține în prima instanță amendarea Primarului General al Municipiului București pentru neexecutarea unei hotărâri judecătorești definitive. Partenerul Adriana Dobre a coordonat echipa care a obținut una dintre primele decizii judecătorești de acest fel: amendă de 20% din salariul minim brut pe economie pe zi de întârziere, la care se adaugă penalități de 500 lei ̸ zi de întârziere
Rundă amplă de promovări în mai multe arii de practică din cadrul biroului Kinstellar din București. Opt avocați au făcut un pas înainte în carieră | Victor Constantinescu (Managing Partner): ”Recunoaștem în mod oficial contribuțiile colegilor prin aceste promovări. Împărtășesc valorile pe care le avem, s-au dovedit a fi membri de valoare pentru echipa locală și așteptăm cu nerăbdare să îi vedem acumulând noi realizări”
Studiul CMS European M&A 2024 | Piața de fuziuni și achiziții s-a dovedit rezistentă în 2023, CMS acordând consultanță într-un număr record de tranzacții. Horea Popescu, coordonator al practicii Corporate M&A în CEE și Managing Partner al CMS România: “În ciuda unui context plin de provocări, CMS a oferit consultanță în 68 de tranzacții de fuziuni și achiziții în regiune, dintre care peste 50% au fost determinate de intrarea unor investitori strategici pe noi piețe, demonstrând soliditatea practicii noastre în întreaga regiune”
Stratulat Albulescu & Asociații estimează pentru anul 2024 un nivel de activitate, în practica de Real Estate, cel puțin egal cu cel de anul trecut, marcat însă de o anumită expectativă din partea dezvoltatorilor, prudența fiind cuvântul cheie auzit cel mai frecvent de la clienți. Vor exista însă și ferestre de oportunitate care în mod cert vor fi accesate de jucătorii cu un apetit crescut la risc | “Cel mai probabil vom asista, în cursul acestui an, la o deblocare a situației și la o creștere a numărului de tranzacții, chiar și timidă”, spun avocații
O soluție reper a ÎCCJ obținută de D&B David și Baias clarifică modalitatea de calcul a cifrei de afaceri la care se aplică amenzile Consiliului Concurenței
Creștere de doi digiți, anul trecut, pentru Milcev Burbea, firmă recunoscută de ghidurile juridice internaționale pentru practica de proprietate intelectuală | Despre mandatele provocatoare și numeroasele proiecte cu grad ridicat de complexitate, într-o discuție cu Gabriela Milcev (Managing Partner): ”Forța biroului nostru constă într-o abordare echilibrată, croită pe nevoile cazului, combinând, ca într-o rețetă care nu este niciodată aceeași, consultanța și litigiul, precum și persoanele și abordările potrivite pentru apărarea intereselor clientului. Adesea ne confruntăm cu necesitatea de a opera în alte jurisdicții, la nivel internațional”
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...